ファイルレスマルウェアへの対策とは。感染経路や特徴とともに紹介
従来型のマルウェアとは違う仕組みで動く『ファイルレスマルウェア』の被害が増えています。メールを介して感染することが多く、発見しにくいため気づきにくいのです。そんなファイルレスマルウェアへの対策方法を紹介します。
この記事の目次
ファイルレスマルウェア被害の実状
ファイルレスマルウェアとは、PCのOSにもともと備わっている機能を利用して行われる攻撃です。プログラムを入れることなく攻撃するという特徴により、どのような被害が発生しているのでしょうか?
被害の事例
感染によって不正に情報を取得されたり、改ざんされたり、遠隔操作によって情報が抜き取られたりするのは、従来のマルウェアと一緒です。ただし、攻撃が検知しにくいという点に違いがあります。 例えば、韓国を攻撃したGold Dragonは、ファイルレスマルウェアの典型的な仕組みを持つものでした。WindowsのPowerShellを悪用するのです。PowerShellの埋め込みスクリプトが入ったWord文書が添付されていました。 また、アメリカの信用情報会社が狙われた攻撃は、Apache Strutsの脆弱性が悪用された攻撃です。およそ1億5000万人分もの個人情報が流出する大きな被害となりました。
ファイルレスマルウェアの感染経路
大きな被害を出す可能性のあるファイルレスマルウェアは、スパムメールを通して拡散されるのが一般的です。 スパムメールに添付されたファイルをクリックすることで、PowerShellコードが実行されます。これを合図に、外部サーバーから不正なプログラムがダウンロードされるのです。 しかし、不正プログラムがディスク内に残ることはありません。メモリーに書き込みだけ残し、ファイルは全て削除されるからです。 すると、PowerShellの不正操作が可能になり、PCを外部からコントロールされてしまいます。その結果、情報を抜き取られたり、不正な操作をされたりするのです。
ファイルレスマルウェアの特徴
ファイルレスマルウェアが従来型よりも成功率が高いのは、そのための仕組みがあるからです。具体的にどのような仕組みと特徴を持っているのか解説します。
仕組みと危険性
ファイルではなくメモリー上で不正コードを実行するのが、ファイルレスマルウェアの基本的な仕組みです。OSに本来備わっている機能を悪用して実行されます。 そのため、攻撃に気づかれにくく、成功率が従来型のマルウェアと比較して10倍にもなるのです。 このことは、これまでのウイルス対策の考え方で対応できない攻撃である、ということを表しています。リスクを減らすには、ファイルレスマルウェアの仕組みや特徴を踏まえた対策が重要です。
正規コマンドやプログラムと判別が困難
成功率の高さの理由は、不正コマンドや不正プログラムだと気づきにくいことにより引き起こされるからです。正規コマンドや正規プログラムを悪用するマルウェアのため、判別が難しいのです。 しかも、稼働するのはメモリー上に限られます。そのため、再起動するとマルウェアそのものが消去されて、攻撃の痕跡が残りません。発見するのが極めて難しい攻撃と言えます。
スクリプトの難読化
発見が難しいのは、スクリプトが難読化されてしまうこととも関係します。どのような指示が行われているか分かりにくい内容のスクリプトなので、そのまま実行されてしまうのです。 ショートカットファイルのアイコンや拡張子を偽装するというのも特徴です。ファイルレスマルウェアのプログラムであるにもかかわらず、まるでテキストファイルのような見た目になってしまいます。 その結果、見つからないうちに攻撃を仕掛けられるのです。
ファイルレスマルウェアへの対策
従来型と比べて発見しにくいファイルレスマルウェアは、どのように対策するのがよいのでしょうか?有効な対策を紹介するので、自社の取り組みに生かしましょう。
ふるまい検知などエンドポイントでの対応
発見が難しいファイルレスマルウェア対策をするには、エンドポイントセキュリティとしてEDR製品を導入しましょう。マルウェアの挙動を検知して対応する機能があるため、水際で被害を食い止められる可能性があります。 例えば、PowerShellと同時にWordが起動するのは、ファイルレスマルウェアの侵入が疑われる挙動です。そこで、その動きを停止し、脅威の可能性を排除します。 既知のマルウェアを検知して対応する製品の場合、こうした対応ができません。そのため、ファイルレスマルウェアを意識した対策をするなら、EDR製品がおすすめです。
添付に注意するなど社員教育も
ファイルレスマルウェアは、メールの添付ファイルとして送りつけられるケースが一般的です。そのため、セキュリティ意識の低い社員が、不用意にクリックすることで被害を出す、というケースが増えています。 大切なのは、社員教育によって、個々のセキュリティ意識を高めることです。危険性に気づかず添付ファイルを開いてしまう社員を減らすことで、リスクを低くできます。 セキュリティ教育は、定期的に社員全員を対象に実施するのが理想です。半年に1度のペースで行うと、サイバー攻撃の手法の変化に対応しやすくなります。
まとめ
発見のしにくさから被害が広がるファイルレスマルウェアは、従来型の対策では対応しきれません。メモリー上で稼働するだけなので、再起動によって削除されてしまうのです。 そのため、攻撃されたことに気づかず、痕跡が消えることで対応もしにくくなっています。 そんなファイルレスマルウェアを対策するには、挙動を検知するEDRの導入や、社員教育の徹底が必須です。自社に必要な対策を取り入れて、被害を食い止めましょう。
紹介動画
忍び寄るサイバー攻撃 ハッカー集団にあなたは対抗できますか?
企業を狙うサイバー攻撃は巧妙化。セキュリティソフトを入れておけば安心という時代は終わり、多層防御によるセキュリティ対策が急務です。多層防御とは?ポイントを含めご紹介します。
多様化するサイバー攻撃。セキュリティソフトを入れておけば安心ですか?
セキュリティ対策を怠ったために、取引先にまで、マルウェアを感染させてしまったら・・・。ほぼすべての中堅・中小企業がサイバー攻撃を受けていると言われています。専門ベンダへのアウトソース、インシデント時の緊急体制の整備、サイバー保険。セキュリティに関する業務を一人で抱え込まないためのポイントをご紹介します。
お客さまの課題やお困りごとに合わせた
豊富なラインナップをご用意
OCN光 IPoEサービス
-
企業向けベストプラン
OCN光 IPoEサービス
ワイドプラン標準プランからさらに3倍の帯域設計(従来サービスの6倍)。
ワイドプランならではの特長として、Windows Updateによる通信をそのほかの業務用の通信から分離。安定した通信が可能。 -
オンライン会議に最適
OCN光 IPoEサービス
ワイドプラン オプションサービス
アプリコントロールAワイドプランに加え、映像によるリモート会議・商談の通信を別経路に分離。
ストレスフリーなコミュニケーション環境を実現します。 -
OCN光 IPoEサービス
標準プラン従来サービスから2倍の収容設計!
動画サービスなど、混雑の原因となりやすい個人向けインターネット通信のトラフィックを論理的に分離。
快適なインターネット接続環境を実現。 -
OCN光 IPoEサービス
vUTMセットIPoEインターネット接続とクラウド化されたUTM機器をセットで提供。運用保守をNTT Comが行うため、つねに最新のセキュリティ対策を実現します。クラウド利用時のセキュリティ対策にも最適です。
-
OCN光 IPoEサービス
VPNセット高品質なOCN IPoEインターネット接続と拠点間VPN機能、専用レンタルルーターをセットで提供。
IPsecによる暗号化技術により、インターネットVPNによる高品質な拠点間通信を実現します。